Basmi Virus Brontok
Sebenarnya virus Brontok sudah
berkembang dan dirilis berkali-kali. Penulis tidak ingat virus Brontok yang
diujicoba ketika tulisan ini dibuat versi berapa. Yang jelas ciri-ciri dan cara
kerja virus yang diujicoba ini dijelaskan berikut ini.
a. Ciri-ciri Virus Brontok
= Memanfaatkan ekstensi EXE, COM,
PIF, SCR untuk duplikasi virus
= Ukuran file 45KB (45.344 byte)
= Dibuat tanggal 16 Januari 2006, jam 09:10
= Memperlambat komputer
= Menghilangkan menu Folder Options
= Memanipulasi setting Folder Options sehingga file hidden tidak ditampilkan
= Menyembunyikan ekstensi file pada Windows Explorer
= Membuat file EMPTY.PIF (duplikat virus) di Start > Programs > StartUp
= Restart komputer jika user mencoba menjalankan program-program: REGEDIT.EXE, CMD.EXE (Command Prompt),
= Membuat jadwal periodik (Scheduled Task) bernama At1 dan At2, lihat di Control Panel > Scheduled Tasks
= Membuat duplikasi virus:
= Ukuran file 45KB (45.344 byte)
= Dibuat tanggal 16 Januari 2006, jam 09:10
= Memperlambat komputer
= Menghilangkan menu Folder Options
= Memanipulasi setting Folder Options sehingga file hidden tidak ditampilkan
= Menyembunyikan ekstensi file pada Windows Explorer
= Membuat file EMPTY.PIF (duplikat virus) di Start > Programs > StartUp
= Restart komputer jika user mencoba menjalankan program-program: REGEDIT.EXE, CMD.EXE (Command Prompt),
= Membuat jadwal periodik (Scheduled Task) bernama At1 dan At2, lihat di Control Panel > Scheduled Tasks
= Membuat duplikasi virus:
Banyak file duplikasi yang namanya
diacak dengan nama-nama seperti: br6657on.exe, csrss.exe, inetinfo.exe,
lsass.exe, services.exe, smss.exe, svchost.exe, winlogon.exe,
11496-NendangBro.com, Empty.pif, DXBLAK.exe, cmd-bro-nmx.exe.
* File screen saver (.SCR) di folder
C:\Windows\System32 dengan nama misalnya "kecrut’s Settings.SCR”, di mana
kecrut adalah nama user yang terdaftar dalam User Accounts (Control Panel >
User Accounts)
* EMPTY.PIF di Start > Programs
> StartUp
* Di Folder C:\Windows\ShellNew
= Dibuat menggunakan program Visual
Basic 6.0
= Virus tetap bekerja di Safe Mode
= Virus tetap bekerja di Safe Mode
b. Cara Mengatasinya
= Catat ukuran dan tanggal file
virus yang sudah menular di berbagai folder. Jika tidak ketemu, klik kanan file
EMPTY.PIF di Start ® Programs ® Startup, klik Properties, lihat ukuran dan
tanggalnya.
= Booting ulang menggunakan StartUp
Disk Windows 98 (walah... harus buat StartUp 98)
= Setelah berhasil masuk ke Command
Prompt 98:
1. Masuk ke folder Windows (C:\Windows),
cari file .EXE yang ukuran dan tanggalnya sama dengan file virusnya. File ini
hidden, gunakan perintah "DIR *.EXE /A".
2. Non-aktifkan atribut hidden pada
file tersebut, kemudian ubah ekstensi file tersebut menjadi ekstensi lain
misalnya “.DEL”. Jika file ini ternyata bukan file virus, nanti bisa
dikembalikan ke nama aslinya. (Misal nama filenya
"SEMBAK~1.EXE":)
ATTRIB –R –H –S SEMBAK~1.EXE
REN SEMBAK~1.EXE SEMBAK~1.DEL
"SEMBAK~1.EXE":)
ATTRIB –R –H –S SEMBAK~1.EXE
REN SEMBAK~1.EXE SEMBAK~1.DEL
3. Masuk ke folder C:\Documents and
Settings, ubah semua folder yang namanya sama dengan nama-nama user yang
terdaftar dalam User Accounts.
Nama yang panjang biasanya terpotong menjadi enam karakter ditambah karakter “~” dan karakter angka, misal “Soepardjono” akan menjadi "SOEPAR~1".
Jika nama folder mengandung titik, folder tersebut akan memiliki ekstensi. Gunakan perintah “DIR /AD” untuk melihat nama-nama folder di dalamnya.
Nama yang panjang biasanya terpotong menjadi enam karakter ditambah karakter “~” dan karakter angka, misal “Soepardjono” akan menjadi "SOEPAR~1".
Jika nama folder mengandung titik, folder tersebut akan memiliki ekstensi. Gunakan perintah “DIR /AD” untuk melihat nama-nama folder di dalamnya.
Contoh:
C:\WINDOWS>CD ..
C:\>CD DOCUME~1 atau CD “Documents and Settings”
C:\DOCUME~1>DIR /AD
(Daftar nama folder ditampilkan)
C:\DOCUME~1>REN SOEPAR~1 SUPAR
C:\DOCUME~1>REN MASYUS~1.YES MASYUS.TOK
C:\WINDOWS>CD ..
C:\>CD DOCUME~1 atau CD “Documents and Settings”
C:\DOCUME~1>DIR /AD
(Daftar nama folder ditampilkan)
C:\DOCUME~1>REN SOEPAR~1 SUPAR
C:\DOCUME~1>REN MASYUS~1.YES MASYUS.TOK
4. Masuk ke folder
C:\Windows\ShellNew, ubah ekstensi file .EXE yang tanggal dan ukurannya sama
dengan tanggal dan ukuran file virus.
File ini hidden, gunakan perintah “DIR *.*/A”. Sebelum dihapus, atribut hidden-nya harus dinonaktifkan dulu:
File ini hidden, gunakan perintah “DIR *.*/A”. Sebelum dihapus, atribut hidden-nya harus dinonaktifkan dulu:
(Misal nama filenya
bbm-ypmmngnc.exe)
ATTRIB –R –H –S BBM-Y~1.EXE
REN BBM-Y~1.EXE BBM-Y~1.DEL
ATTRIB –R –H –S BBM-Y~1.EXE
REN BBM-Y~1.EXE BBM-Y~1.DEL
5. Keluarkan disket startup dari
floppy drive, kemudian restart.
6. Jika langkah-langkah di atas
berhasil, setelah booting akan muncul pesan “Windows cannot find ... ” diikuti
nama salah satu virus yang ngendon di sistem.
7. Hapus At1 dan At2 di Control
Panel ® Scheduled Tasks. Dua file ini adalah file penjadwal aktifnya virus.
8. Jalankan Windows Explorer. Klik
menu View ® Details supaya Windows Explorer menampilkan atribut file secara
detail (nama, ukuran, ekstensi, tipe).
Sampai di sini, Folder Options di Windows Explorer sudah muncul, CMD.EXE (Command Prompt) sudah dapat dijalankan, REGEDIT juga sudah dapat dijalankan.
Sampai di sini, Folder Options di Windows Explorer sudah muncul, CMD.EXE (Command Prompt) sudah dapat dijalankan, REGEDIT juga sudah dapat dijalankan.
9. Klik Tools ® Folder Options,
kemudian lakukan konfigurasi berikut:
o Aktifkan “Show hidden files and
folders” supaya file hidden tetap terlihat.
o Non-aktifkan “Hide extensions for known file types” supaya ekstensi setiap file ditampilkan.
o Non-aktifkan “Hide protected operating system files (Recommended)” supaya file C:\AUTOEXEC.BAT dapat dilihat.
o Klik tombol “Apply to All Folders”, supaya setting di atas diberlakukan untuk setiap folder, bukan hanya untuk folder yang sekarang dibuka.
o Non-aktifkan “Hide extensions for known file types” supaya ekstensi setiap file ditampilkan.
o Non-aktifkan “Hide protected operating system files (Recommended)” supaya file C:\AUTOEXEC.BAT dapat dilihat.
o Klik tombol “Apply to All Folders”, supaya setting di atas diberlakukan untuk setiap folder, bukan hanya untuk folder yang sekarang dibuka.
10. Saatnya mencari sisa-sisa file
virus yang masih ada di sistem Gunakan fasilitas Search, dan pada kategori
pilihan More advanced options, aktifkan pilihan Search system folders, Search
hidden files and folders, dan Search subfolders.
o Mulai mencari dari folder yang namanya sama dengan nama-nama user di dalam folder C:\Documents and Settings:
o Mulai mencari dari folder yang namanya sama dengan nama-nama user di dalam folder C:\Documents and Settings:
+ Masukkan kata kunci pencarian nama
file: “*.EXE”, kemudian klik Search.
+ Tunggu hingga proses search
selesai! Kemudian urutkan hasil pencarian berdasarkan ukuran (View ® Arrange
Icons by ® Size), atau klik kolom “Size” pada tampilan daftar file. Dengan cara
ini semua file yang sama ukurannya akan mengelompok.
+ Jika terdapat file yang tidak
diragukan lagi sebagai virus, hapus saja. Perhatikan ikon, ukuran dan
tanggalnya.
+ Ulangi lagi langkah pencarian dari
awal, tetapi menggunakan kata kunci “*.COM”, kemudian “*.PIF”, dan “*.SCR”.
o Lakukan juga pencarian di folder
C:\Windows.
11. Klik kanan file C:\AUTOEXEC.BAT,
kemudian klik Edit. Hapus baris pertama yang bertulisan “PAUSE”, kemudian
simpan kembali. 12. Jalankan REGEDIT, kemudian lakukan langkah-langkah berikut:
o Masuk ke key Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Jika terdapat value yang datanya menunjuk ke file-file virus, hapus value tersebut. Jika tidak yakin value tersebut dibuat oleh virus,
sebaiknya data tersebut diekspor dulu dengan mengklik menu File ® Export... . Jika ternyata value tersebut ternyata bukan buatan virus, nanti file hasil ekspor tinggal diklik dua kali untuk mengembalikan seperti semula.
Cari juga value serupa di key Run di lokasi-lokasi lain. Jika tidak tahu lokasi lain untuk key Run, gunakan fasilitas Find (Edit ® Find...) untuk mencari key “Run”.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Jika terdapat value yang datanya menunjuk ke file-file virus, hapus value tersebut. Jika tidak yakin value tersebut dibuat oleh virus,
sebaiknya data tersebut diekspor dulu dengan mengklik menu File ® Export... . Jika ternyata value tersebut ternyata bukan buatan virus, nanti file hasil ekspor tinggal diklik dua kali untuk mengembalikan seperti semula.
Cari juga value serupa di key Run di lokasi-lokasi lain. Jika tidak tahu lokasi lain untuk key Run, gunakan fasilitas Find (Edit ® Find...) untuk mencari key “Run”.
Contoh value yang mesti dihapus:
# Value bernama Bron-Spizaetus,
datanya kosong (tidak ada datanya).
# Value bernama Bron-Spizaetus, yang berisi data “C:\WINDOWS\ShellNew\bbm-ypmmngnc.exe”
o Masuk ke key Winlogon
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
# Jika terdapat value Shell yang datanya “Explorer.exe” diikuti nama file virus (contoh: Explorer.exe "C:\WINDOWS\sembako-cnzjmng.exe"), ubah sehingga datanya hanya “Explorer.exe” saja.
# Value bernama Bron-Spizaetus, yang berisi data “C:\WINDOWS\ShellNew\bbm-ypmmngnc.exe”
o Masuk ke key Winlogon
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
# Jika terdapat value Shell yang datanya “Explorer.exe” diikuti nama file virus (contoh: Explorer.exe "C:\WINDOWS\sembako-cnzjmng.exe"), ubah sehingga datanya hanya “Explorer.exe” saja.
# Virus jenis lain mungkin akan
mengubah data untuk value Userinit. Biasanya value ini berisi data
“C:\WINDOWS\system32\userinit.exe,”.
13. Sampai di sini, jika berhasil,
sistem sudah bersih dari virus.
Meskipun versi lain mungkin menambahkan strategi baru. Di folder-folder selain folder sistem (mungkin juga di drive lain)
, kemungkinan masih ada duplikasi virus, tetapi tidak aktif. Cari semua file .EXE dan hapus semua yang diyakini sebagai virus (perhatikan ciri-cirinya!). Mungkin juga perkembangan ke depan virus ini menular dengan ekstensi .SCR, .COM, .PIF.
Meskipun versi lain mungkin menambahkan strategi baru. Di folder-folder selain folder sistem (mungkin juga di drive lain)
, kemungkinan masih ada duplikasi virus, tetapi tidak aktif. Cari semua file .EXE dan hapus semua yang diyakini sebagai virus (perhatikan ciri-cirinya!). Mungkin juga perkembangan ke depan virus ini menular dengan ekstensi .SCR, .COM, .PIF.
14. Restart ulang. Jika proses
selanjutnya kembali normal berarti proses pembersihan virus berhasil.
o Folder-folder di C:\Documents and
Settings yang tadinya di-rename, mungkin masih menyimpan data-data dokumen
penting. Cari folder dokumen di dalamnya (biasanya setiap user dibuatkan satu
folder dokumen) dan selamatkan data-data di dalamnya.
Di folder ini akan muncul nama-nama folder baru untuk menyimpan setting dan data masing-masing user. Pindahkan data-data tersebut di folder user yang baru ini.
Di folder ini akan muncul nama-nama folder baru untuk menyimpan setting dan data masing-masing user. Pindahkan data-data tersebut di folder user yang baru ini.
o File-file yang ekstensinya telah
diubah (menjadi *.DEL) dapat dihapus jika proses pembersihan berhasil.
selamat mencoba.
Posting Komentar